WASHINGTON (Reuters) – Le ministère de la Justice a dévoilé jeudi des accusations accusant quatre responsables russes d’avoir mené une série de cyberattaques ciblant des infrastructures critiques aux États-Unis, notamment une centrale nucléaire au Kansas, et d’avoir manifestement compromis une installation pétrochimique en Arabie saoudite.
L’annonce couvrait les piratages de 2012 à 2018, mais a servi d’avertissement supplémentaire de la part de l’administration Biden sur la capacité de la Russie à mener de telles opérations. Il est venu quelques jours après le président Biden dit aux entreprises que Moscou pourrait mener de telles attaques pour exercer des représailles contre les pays qui se sont opposés avec force à l’invasion russe de l’Ukraine.
“Bien que les accusations criminelles dévoilées aujourd’hui reflètent des activités passées, elles montrent clairement le besoin urgent et continu des entreprises américaines de renforcer leurs défenses et de rester vigilantes”, a déclaré la sous-procureure générale Lisa O. Monaco dans un communiqué. “Les pirates informatiques parrainés par l’État russe constituent une menace sérieuse et persistante pour les infrastructures critiques aux États-Unis et dans le monde.”
Les quatre responsables, dont trois membres de l’agence russe de renseignement intérieur, le Service fédéral de sécurité, ou FSB, sont accusés d’avoir violé des centaines de sociétés énergétiques à travers le monde, montrant “l’art sombre du possible”, a déclaré un responsable du ministère de la Justice lors d’une conférence de presse. séance d’information avec les journalistes.
Les actes d’accusation confirment essentiellement ce que les cyber-chercheurs disent depuis des années, à savoir que la Russie était à blâmer pour les intrusions. Aucun des responsables russes accusés des attentats n’a été appréhendé.
Dans son avertissement aux entreprises privées lundi, M. Biden les a exhortées à renforcer leurs défenses. Les experts en sécurité nationale ont déclaré que les entreprises devraient signaler toute activité inhabituelle au FBI et à d’autres agences susceptibles de répondre à des violations potentielles.
Dans l’un des actes d’accusation Descellé jeudi, un programmeur informatique du ministère russe de la Défense, Evgeny V. Gladkikh, 36 ans, est accusé d’avoir utilisé un type de malware connu sous le nom de Triton pour infiltrer une usine pétrochimique étrangère en 2017, entraînant deux arrêts d’urgence de l’installation. L’acte d’accusation n’a pas identifié l’emplacement de l’usine, mais les détails de l’attaque suggèrent que l’installation se trouvait en Arabie saoudite.
Les enquêteurs pensaient à l’époque que l’intrusion était censée déclencher une explosion, mais ont déclaré que une erreur dans le code en a empêché un. Le système de sécurité a détecté le logiciel malveillant et a provoqué un arrêt du système, ce qui a conduit les chercheurs à découvrir le code.
Sans se laisser décourager, l’année suivante, M. Gladkikh et d’autres pirates ont fait des recherches sur des raffineries aux États-Unis et ont tenté de pirater les ordinateurs d’une société américaine qui gérait des infrastructures critiques similaires aux États-Unis, selon des documents judiciaires.
M. Gladkikh a été inculpé d’un chef de complot en vue de causer des dommages à une installation énergétique, d’un chef de tentative de causer des dommages à une installation énergétique et d’un chef de complot en vue de commettre une fraude informatique, passible d’une peine maximale de cinq ans de prison.
Les experts en cybersécurité considèrent que le logiciel malveillant Triton est particulièrement dangereux en raison de son potentiel à créer des catastrophes dans les centrales électriques du monde entier, dont beaucoup utilisent le même logiciel qui a été ciblé dans l’usine saoudienne. Son utilisation en 2017 a signalé une dangereuse escalade des cybercapacités de la Russie, démontrant que la Russie était disposée et capable de détruire des infrastructures critiques et d’infliger une cyberattaque qui pourrait avoir des conséquences mortelles.
“C’était différent de ce que nous avions vu auparavant parce que c’était un nouveau bond en avant dans ce qui était possible”, a déclaré John Hultquist, vice-président de l’analyse du renseignement chez la société de cybersécurité Mandiant.
Dans un espace séparé accusationles procureurs fédéraux ont accusé trois agents du Service fédéral de sécurité, Pavel A. Akulov, 36 ans, Mikhail M. Gavrilov, 42 ans, et Marat V. Tyukov, 39 ans, d’avoir tenté pendant des années de cibler et de compromettre les systèmes informatiques de centaines d’entreprises du secteur de l’énergie. le monde.
On pense que les trois hommes sont tous membres d’une unité de l’agence de sécurité qui commet des cybercrimes et est connue sous divers noms, notamment “Dragonfly”, “Berzerk Bear”, “Energetic Bear” et “Crouching Yeti”.
Le groupe a “une décennie d’expérience dans la poursuite des infrastructures critiques américaines”, a déclaré M. Hultquist. “En 2020, ils creusaient dans les systèmes étatiques et locaux ainsi que dans les aéroports.”
M. Akulov, M. Gavrilov et M. Tyukov sont accusés de piratage Société d’exploitation nucléaire de Wolf Creekqui exploite une centrale nucléaire près de Burlington, au Kansas, ainsi que d’autres entreprises qui exploitent des infrastructures essentielles, telles que des sociétés pétrolières et gazières et des sociétés de services publics.
De 2012 à 2017, les trois hommes ont obtenu un accès non autorisé aux systèmes informatiques des sociétés pétrolières et gazières, de l’énergie, des centrales nucléaires et des services publics et ont surveillé subrepticement ces systèmes, selon l’acte d’accusation.
Ils ont ciblé les logiciels et le matériel qui contrôlent les équipements des installations de production d’électricité, donnant au gouvernement russe la possibilité de perturber et d’endommager ces systèmes informatiques, selon des documents judiciaires.
Ils ont utilisé plusieurs tactiques pour accéder aux réseaux informatiques, y compris des attaques de harponnage qui ont ciblé plus de 3 300 utilisateurs dans plus de 500 entreprises américaines et internationales. Ils ont ciblé des agences gouvernementales telles que la Commission de réglementation nucléaire et, dans certains cas, ils ont réussi.
Les trois agents de sécurité russes ont été accusés de complot en vue de causer des dommages à la propriété d’une installation énergétique et d’avoir commis des fraudes et des abus informatiques ; et ils ont été accusés de complot en vue de commettre une fraude électronique. M. Akulov et M. Gavrilov ont été accusés séparément d’usurpation d’identité aggravée.
Les groupes de piratage russes étudient souvent les infrastructures critiques, les compromettent puis se cachent dans les systèmes informatiques pendant des mois ou des années sans prendre de mesures, a déclaré M. Hultquist.
« C’est ce processus qui leur permet d’avoir accès mais pas nécessairement d’appuyer sur la gâchette. C’est la préparation de la contingence », a-t-il déclaré. “Le but est de nous faire savoir qu’ils peuvent répondre.”
0 Commentaires